MySQL Eventum bis 1.6.0 view.php id-Parameter Cross Site Scripting
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
5.7 | $0-$5k | 0.00 |
SQL ist eine Datenbank. MySQL ist eine SQL-Datenbank für viele verschiedene Betriebssysteme, die der open-source Lizenz unterliegt. Sie hat aufgrund ihrer Geschwindigkeit und Zuverlässigkeit ein sehr hohes Mass an Popularität erreicht. In MySQL Eventum bis 1.6.0 wurden einige Cross Site Scripting-Schwachstellen gefunden. Das MySQL-Team publizierte unter anderem den Fehler bezüglich der Verarbeitung des Parameters id durch das PHP-Skript view.php. Ein Angreifer ist durch Cross Site Scripting-Angriffe in der Lage, mobilen Programmcode im Kontext der Browser-Sitzung eines Opfers anzeigen zu lassen. Der Fehler wurde in der jüngsten Version 1.6.0 von MySQL Eventum behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (21640) und Exploit-DB (1134) dokumentiert. Die Schwachstellen 1674, 1676, 1675 und 27853 sind ähnlich.
Cross Site Scripting Angriffe erfreuen sich in einiger Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.7
VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: MySQL Eventum 1.6.0
Patch: dev.mysql.com
Timeline
31.07.2005 🔍01.08.2005 🔍
01.08.2005 🔍
01.08.2005 🔍
01.08.2005 🔍
01.08.2005 🔍
05.08.2005 🔍
08.08.2005 🔍
31.12.2005 🔍
04.07.2019 🔍
Quellen
Advisory: gulftech.orgPerson: James Bercegay
Firma: MySQL Team
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2005-2467 (🔍)
X-Force: 21640 - MySQL Eventum multiple class SQL injection, Medium Risk
SecurityTracker: 1014603
SecurityFocus: 14436 - MySQL Eventum Multiple Cross-Site Scripting Vulnerabilities
Secunia: 16304 - MySQL Eventum Cross-Site Scripting and SQL Injection, Moderately Critical
OSVDB: 18403 - MySQL Eventum login.php email Parameter SQL Injection Authentication Bypass
Vupen: ADV-2005-1287
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 08.08.2005 11:54Aktualisierung: 04.07.2019 06:52
Anpassungen: 08.08.2005 11:54 (87), 04.07.2019 06:52 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.